Présentation des APIs Crédit Agricole Store le 8 avril 2015 dans le cadre de la Mobile Banking Factory 2.
https://www.youtube.com/watch?v=8c1BsL-YiYQ&list=PLuP4XLxfL4Q6GsPzAnJIQGAcNeAb4KDHX&index=16
1. 1
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
1
PARTENAIRE
SECURITE
Webinar #2
2015 V1.0
2. 2
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
2Outils développeurs : Comment soumettre mon application ?
Création d’un jeton de production
Réception du mail de validation
- L’application a été validée par CA Store
- Elle est maintenant référencée sur le portail CA Store et fonctionnelle pour les clients
- A noter : l’application ne fonctionne plus avec les comptes développeurs
- Délai de validation par CA Store
(quelques jours, durée dépendante de la
complexité de l’application)
Packaging et livraison sur le(s) store(s)
- Le développeur insère le jeton de production dans son code à la place du jeton de dév.
- L’application doit ensuite être déployée dans les stores
Demande de publication
- Cette demande signale à CA Store que l’application est prête à être ouverte au client
- CA Store peut alors déclencher le processus de contrôle (sécurité / conformité)
- Délai de validation par APPLE si application iOS
(penser à fournir des comptes de tests à APPLE (i.e. compte développeur quelconque))
3. 3
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
3
Démo
Outils développeurs : Comment soumettre mon application ?
https://www.youtube.com/watch?v=8c1BsL-YiYQ
4. 4
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
4Customisation des Web View (1/2)
Possibilité d’injecter un CSS pour personnaliser le graphisme et les textes des Web View
Web View d’origine Exemple de customisation
Powered by CA Store
5. 5
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
5Customisation des Web View (2/2)
Fonctionnalité administrable via l’espace développeur sur le portail Web CA Store
A NOTER
- 1 seul fichier CSS pour customiser l’ensemble des WebView (authentification, virement, etc.)
- 1 fichier CSS par application (i.e. : un upload CSS pour l’application de développement + 1 upload de CSS pour l’application de production)
- La customisation CSS s’applique immédiatement pour une application en cours de développement, mais reste soumise à
validation pour une application de production
- Obligation de conserver, a minima, le label (powered by CA Store)
- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication
Upload du fichier CSS
Filtrage des Caisses Régionales
Permet de lister les caisses disponibles
lorsque l’utilisateur s’inscrit au travers
de votre application
6. 6
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
6Fonctionnalités complémentaires : virement bancaire (1/3)
Page dédiée dans la documentation :
https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html
1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application
- Appelle d’une page hébergée
par le serveur, via un objet
Web View dans l’application
- Le client y invité à se ré-
authentifié
- Etape à la charge de
l’application
- Vise à récupérer l’ensemble
des pré-requis fonctionnel
(choix des comptes) et
technique (demande d’un
nouveau jeton OAuth)
- Mécanisme de redirection
disponible (url de retour à
indiquer lors de l’appelle à la
Web View)
7. 7
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
7Fonctionnalités complémentaires : virement bancaire (2/3)
Page dédiée dans la documentation :
https://www.creditagricolestore.fr/castore-data-provider/docs/V1/transfer.html
1 Préparation du virement 2 Exécution du virement 3 Reprise en main par l’application
- Mécanisme de redirection
disponible (url de retour à
indiquer lors de l’appelle à la
Web View)
https://www.creditagricolestore.fr/castore-data-
provider/rest/V1/utilisateurs/6678417068863580/
comptesBAM/6679269448408006/comptesEmett
eurs
https://www.creditagricolestore.fr/castore-data-
provider/rest/V1/utilisateurs/6678417068863580/
comptesBAM/6679269448408006/comptesDestin
ataires
https://www.creditagricolestore.fr/castore‐data‐pr
ovider/authentification/virement?identifiantCompt
eBAM=17477696224051299&identifiantCompteEm
etteur=17477695929326256&identifiantCompteBe
neficiaire=17477696151769798&montant=500&lib
elleVirement=Test
virement&refOperation=Operation
test&redirectPage=http://mycallback&oauth_token
=https://www.creditagricolestore.fr/castore‐oauth/
resources/1/oauth/rtoken/b2975e228eef4d8b92c5
436552d56588
8. 8
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
8Fonctionnalités complémentaires : virement bancaire (3/3)
Astuce complémentaire : Forcer le rafraichissement des données après un virement
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes
GET
Après un virement réussi, le solde d’un ou plusieurs comptes a pu évolué.
Le système de cache CA-Store peut potentiellement masquer cette information dans la session en cours.
Afin de forcer le rafraîchissement des données, l’application peut avoir recours ponctuellement au header Cache-Control pour forcer le
rafraîchissement des données.
Header Cache-Control : no-cache
A NOTER
- Cette fonctionnalité ne doit être utilisée qu’après un virement
- Tout abus de cette fonctionnalités (ex. : usage systématique du header Cache-Control) pourra aboutir à une non
validation de l’application
- Dans le process de déploiement, l’injection du CSS doit être faite avant la demande de publication
9. 9
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
9
Exemple de code
Fonctionnalités complémentaires : virement bancaire (3/3)
https://github.com/CA-Store-MBF2/CA-Store-Android-sample
10. 10
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
10Fonctionnalités complémentaires : ordre d’affichage des comptes bancaires
https://www.creditagricolestore.fr/castore-data-provider/rest/V1
/utilisateurs/6678417068863580/comptesBAM/6679269448408006/comptes
GET
Résultat :
Index : Ordre d’affichage conseillé par défaut dans l’application
Groupe : regroupement des comptes par type d’appartenance au client
(titulaire, co-titulaire, mandataire)
- Le premier groupe est nommé « Titulaire » : ce sont les comptes qui appartiennent au client
- Les autres groupes auront des noms types « Groupe 1 », « Groupe 2 »
- Il n’est pas possible d’identifier le type des autres groupes
11. 11
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
11
Questions ?
12. 12
HARMONIE TECHNOLOGIE Spécialiste de la sécurité du SI – partenaire sécurité du Crédit Agricole Store
Crédit Agricole « MOBILE BANKING FACTORY2» - Webinar #2 - Mercredi 8 avril 2015
12
Harmonie Technologie
Cabinet de conseil et d’expertise technique
Spécialiste de la sécurité du système d’information
60 rue la Boétie
75 008 Paris
Nous contacter
01 73 54 30 00 / info.ssi@harmonie-technologie.com